LFI 与 Zip Slip 组合利用

  • 进入靶场首页,“ 你能找到隐藏的管理员后台并获取权限吗? ”

    img

    我们直接使用御剑进行目录扫描,找到一个login.php登录后台,需要我们登录,不要直接尝试弱口令爆破,性价比不高,再找找其他线索

    img

    d2b5ca33bd20260621222320

    在首页f12找到一个静态的css,尝试一下/* 注意:所有配置都存放在 config/sec_admin_pass.txt 中 */

    直接访问/config/sec_admin_pass.txt ,看样子是一个登录用户

    d2b5ca33bd20260621222333

    d2b5ca33bd20260621222350

    成功登录是超级管理员权限,找到一个文件上传的入口好像是我们唯一可以操作的,

    继续思考可能要通过文件上传的或者文件包含的漏洞来执行管理员操作,

    然后又想到我们已经是管理员,可以尝试命令行执行来进行管理员操作于是可以尝试文件包含加RCE命令行执行

    d2b5ca33bd20260621222407

     

    这里规定要使用zip文件是存在waf需要进行绕过的,最后的php代码是

    <?php $__=’_’.’G’.’E’.’T’;$___=$$__;echo `{$___[‘x’]}`;?>

    ,可以结合ai来写,纯手工可能存在困难

    d2b5ca33bd20260621222421

     

    我上传的压缩文件是plugin.zip,针对自己的上传要修改一下路径,通过返回得知现在已经是root权限了,而且是Linux操作系统(前面是直接猜的)

    d2b5ca33bd20260621222439

    剩下直接寻找flag位置即可

请登录后发表评论

    请登录后查看回复内容